文献类型：期刊文章

作　　者：牛伟纳[1] 丁雪峰[2] 刘智[1] 张小松[1]

机构地区：[1]电子科技大学计算机科学与工程学院,成都611731 [2]四川大学信息管理中心,成都610065

出　　处：《计算机科学》

基　　金：四川省科技计划支撑项目(2012GZ0001);上海市科研计划项目(11511505300)资助

年　　份：2013

卷　　号：40

期　　号：10

起止页码：119-121

语　　种：中文

收录情况：BDHX、BDHX2011、CSA、CSCD、CSCD2013_2014、IC、JST、RCCSE、UPD、ZGKJHX、核心刊

摘　　要：软件漏洞是安全问题的根源之一,fuzzing(模糊测试)是目前漏洞发现的关键技术,但是它通过随机改变输入无法有效地构造出测试用例,也无法消除测试用例的冗余性。为了克服传统fuzzing测试的缺点、有效生成测试输入且无需分析输入格式,针对二进制程序设计并实现了基于符号执行的漏洞发现系统SEVE。将程序的输入符号化,利用动态插桩工具建立符号变量的传播关系;在分支语句处收集路径约束条件,最后用解析器求解之并将其作为新的测试用例。用mp3和pdf软件进行了实验,结果表明,该系统有效地提高了漏洞发现的效率与自动化程度。

关 键 词：漏洞 二进制程序 符号执行  插桩 路径约束  

分 类 号：TP311]